来源:蜘蛛抓取(WebSpider)
时间:2016-10-16 15:39
标签:
dos下重装系统
真实案例:网站遭遇DOS攻击
网站遭遇DOS攻击
一、事件背景
长假对于IT人员来说是个短暂的休整时期,可IT系统却一时也不能停,越是节假日,越可能出大问题,下面要讲述的就是一起遭受DOS攻击的案例。
春节长假刚过完,小李公司的Web服务器就出了故障。下午1点,吃完饭回来,小李习惯性的检查了Web服务器。Web服务器的流量监控系统显示下行的红色曲线,与此同时收到了邮件报警,可以判断服务器出现了状况。
根据上述问题,小李马上开始核查Web服务器的日志,尝试发现一些关于引起中断的线索。正当查询线索过程中,部门经理告诉小李,他已经接到客户的投诉电话,说无法访问他们的网站。
在Web服务器的日志文件中没有发现任何可疑之处,因此接下来小李仔细查看了防火墙日志和路由器日志。打印出了那台服务器出问题时的记录,并过滤掉正常的流量,保留下可疑的记录。表1显示了打印出来的结果。
表 1 防火墙日志统计
目的IP地址
172.16.45.2
192.168.0.175
10.18.18.18
192.168.0.175
10.168.45.3
192.168.0.175
10.18.18.18
192.168.0.175
192.168.89.111
192.168.0.175
10.18.18.18
192.168.0.175
10.231.76.8
192.168.0.175
192.168.15.12
192.168.0.175
10.18.18.18
192.168.0.175
172.16.43.131
192.168.0.175
10.23.67.9
192.168.0.175
10.18.18.18
192.168.0.175
192.168.57.2
192.168.0.175
172.16.87.11
192.168.0.175
10.18.18.18
192.168.0.175
10.34.67.89
192.168.0.175
10.65.34.54
192.168.0.175
192.168.25.6
192.168.0.175
172.16.56.15
192.168.0.175
10.18.18.18
192.168.0.175
他在路由器日志上做了同样的工作并打印出了看上去异常的记录。在表5-1中是网站遭受攻击期间,经过规整化处理后的路由器日志信息。
为了获取更多信息,小李接着查看了路由器中NetFlow综合统计信息,详情如下:
为了有参考基准,他还打印了在Web服务器开始出现问题的前几周他保存的缓存数据(这些是正常状态的数据)。正常路由日志,如下所示:IP packet size distribution 这个标题下的两行显示了数据包按大小范围分布的百分率。这里显示的内容表明:只有2%的数据包的大小在33~64字节之间。
注意,网站的访问量直线下降。很明显,在这段时间没人能访问他的Web服务器。小李开始研究到底发生了什么,以及该如何尽快地修复故障。
二、疑难问答
1.小李的Web服务器到底发生了什么?可能的攻击类型是什么?
2.如果地址未伪装,那么小李如何才能追踪到攻击者?
3.如果地址伪装过,那么他怎样才能跟踪到攻击者?
三、事件推理
小李的Web服务器遭受到什么样的攻击呢?这一攻击是通过对回显端口(echo端口号为7),不断发送UDP数据包实现。攻击看似发自两个地方,可能是两个攻击者同时使用不同的工具。在任何情况下,超负荷的数据流都会拖垮Web服务器。然而攻击地址源不确定,不知道是攻击源本身是分布的,还是同一个真实地址伪装出许多不同的虚假IP地址,这个问题比较难判断。假如源IP地址不是伪装的,则可以咨询ARINI美国Internet号码注册处,从它的&Whois&数据库查出这个入侵IP地址属于哪个网络。接下来只需联系那个网络的管理员就可以得到进一步的信息不过这对DOS攻击不太可能。
假如源地址是伪装的,追踪这个攻击者就麻烦得多。若使用的是Cisco路由器,则还需查询NetFlow高速缓存。但是为了追踪这个伪装的地址,必须查询每个路由器上的NetFlow缓存,才能确定流量进入了哪个接口,然后通过这些路由器接口,逐个往回追踪,直至找到那个IP地址源。然而这样做是非常难的,因为在Web Server和攻击者的发起PC之间可能有许多路由器,而且属于不同的组织。另外,必须在攻击正在进行时做这些分析。如果不是由司法部门介入很难查到源头。
经过分析之后,将防火墙日志和路由器日志里的信息关联起来,发现了一些有趣的相似性,如表5-1中粗黑体黑色标记处。攻击的目标显然是Web服务器(192.168.0.175,端口为UDP 7。这看起来很像拒绝服务攻击(但还不能确定,因为攻击的源IP地址分布随机)。地址看起来是随机的,只有一个源地址固定不变,其源端口号也没变。这很有趣。他接着又将注意力集中到路由器日志上。
他发现,攻击发生时路由器日志上有大量的64字节的数据包,而此时Web服务器日志上没有任何问题。他还发现,案发时路由器日志里还有大量的&UDP-other&数据包,而Web服务器日志也一切正常。这种现象与基于UDP的拒绝服务攻击的假设还是很相符的。
此时,可假设攻击者正是用许多小的UDP数据包对Web服务器的回显(echo 7)端口进行洪泛式攻击,因此小李他们的下一步任务就是阻止这一攻击行为。首先,小李在路由器上堵截攻击。快速地为路由器设置了一个过滤规则。因为源地址的来源随机,他们认为很难用限制某个地址或某一块范围的地址来阻止攻击,因此决定禁止所有发给192.168.0.175的UDP包。这种做法会使服务器丧失某些功能,如DNS,但至少能让Web服务器正常工作。
路由器最初的临时DOS访问控制链表(ACL)如下:
access-list 121 remark Temporary block DoS attack on web server 192.168.0.175
access-list 105 deny udp any host 192.168.0.175
access-list 105 permit ip any any
这样的做法为Web服务器减轻了负担,但攻击仍能到达Web,在一定程度上降低了网络性能。 那么下一步工作是联系上游带宽提供商,想请他们暂时限制所有在小李的网站端口7上的UDP进入流量,这样做会显著降低网络上到服务器的流量。
四 、针对措施
对于预防及缓解这种带宽相关的DOS攻击并没有什么灵丹妙药。本质上,这是一种&粗管子打败细管子&的攻击。攻击者能&指使&更多带宽,有时甚至是巨大的带宽,就能击溃带宽不够的网络。在这种情况下,预防和缓解应相辅相成。
有许多方法可以使攻击更难发生,或者在攻击发生时减小其影响,具体如下:
网络入口过滤网络服务提供商应在他的下游网络上设置入口过滤,以防止假信息包进入网络。这将防止攻击者伪装IP地址,从而易于追踪。网络流量过滤软件过滤掉网络不需要的流量总是不会错的。这还能防止DOS攻击,但为了达到效果,这些过滤器应尽量设置在网络上游。
网络流量速率限制。一些路由器有流量速率的最高限制。这些限制条款将加强带宽策略,并允许一个给定类型的网络流量匹配有限的带宽。这一措施也能预先缓解正在进行的攻击。
入侵检测系统和主机监听工具。IDS能警告网络管理员攻击的发生时间,以及攻击者使用的攻击工具,这将能协助阻止攻击。主机监听工具能警告管理员系统中是否出现DOS工具
单点传送RPF(Reverse Path Forwarding),这是CEF(路由器的Cisco Express Forwarding功能简称)用于检查在接口收到的数据包的另一特性。如果源IP地址CEF表上不具有与指向接收数据包时的接口一致的路由,路由器就会丢掉这个数据包。丢弃RPF的妙处在于,它阻止了所有伪装源IP地址的攻击。
1)检测DOS攻击
利用主机监测系统和IDS系统联合分析,可以很快发现问题,例如通过EtherApe工具(一款监视连接的开源工具),当然,利用Sniffer Pro以及科莱网络分析工具可以达到同样效果。Sniffer能实时显示网络连接情况,如果遇到DOS攻击,从它内部密密麻麻的连线,以及IP地址就能初步判定攻击类型,这时可以采用Ossim系统中的流量监控软件例如Ntop,以及IDS系统来仔细判断。后两者将在《Unix/Linux网络日志分析与流量监控》一书中详细讲解。最快捷的方式还是命令行,我们输入以下命令:
# netstat -an|grep SYN_RECV|wc &l
通过结果可以发现网络中存在大量TCP同步数据包,而成功建立TCP连接的却寥寥无几,根据TCP三次握手原理分析可知,这肯定不是正常现象,网络肯定存在问题,需要进一步查实,如果数值很高,例如达到上千数值,那么很有可能是受到了攻击。如图1所示。
在图1中OSSIM系统中的Snort检测到DOS攻击并以图形方式显示出大量告警信息。例如,某网站在受到DOS攻击时TCP连接如下:
我们统计&SYN_RECV&状态的数量,命令如下:
#netstat &na |grep SYN_RECV |wc &l
这么大数值,在配合上面5-1图形可以判断网站受到DOS攻击。
小技巧:还可以用下面的Shell命令,显示哪个IP连接最多。
#netstat -nta |awk &{print $5}& |cut &d:f1 |sort|uniq &c |sort &n
1 192.168.150.10
2 192.168.150.20
这条命令得到的信息更详细。数值达到1989,有近两千条,这明显说明受到了DOS攻击。 这时我们利用Wireshark工具进行数据包解码可以法相更多问题,当前通讯全都是采用TCP协议,查看TCP标志发送所有的数据包均为SYN置1,即TCP同步请求数据包,而这些数据包往往指向同一个IP地址。至此可以验证上面的判断:这台主机遭受到DOS攻击,而攻击方式为SYN Flood攻击。
五、疑难解答
1.小李的服务器遭到了DOS攻击,攻击是通过对端口7不断发送小的UDP数据包实现的。这次攻击看起来源自两个地方,很可能是两个攻击者使用不同的工具。大量的数据流很快拖垮Web服务器。难点在于攻击地址源不确定,攻击源本身是分布的,还是同一个地址伪装出的许多不同IP地址不好确定。
2.假设地址不是伪装的,小李查询ARIN,从它的Whois数据库中查出这个入侵IP地址属于哪个网络。
3.如果IP地址是伪装的,这种追踪比较麻烦,需要查询每台路由器上的NetFlow数据,才能确定流量进出在哪些接口,然后对这些路由器一次一个接口的往回逐跳追踪查询,直到找到发起的IP地址源。但是这样做涉及多个AS(自治系统),如果在国内寻找其攻击源头
的过程往往涉及很多运营商,以及司法机关,工作量和时间都会延长,如果涉及跨国追查工作就更加复杂。最困难的是必须在攻击期间才能做准确分析,一旦攻击结束就只好去日志系统里查询了。
看了上面的实际案例我们也了解到,许多DoS攻击都很难应对,因为搞破坏的主机所发出的请求都是完全合法、符合标准的,只是数量太大。我们可以先在路由器上借助恰当的ACL阻断ICMP echo请求。
Router(config)#ip tcp intercept list 101
Router(config)#ip tcp intercept max-incomplete high 3500
Router(config)#ip tcp intercept max-incomplete low 3000
Router(config)#ip tcp intercept one-minute high 2500
Router(config)#ip tcp intercept one-minute low 2000
Router(config)#access-list 101 permit any any
如果能采用基于上下文的访问控制(Context Based Access Control,CBAC),则可以用其超时和阈值设置应对SYN洪流和UDP垃圾洪流。例如:
Router(config)# ip inspect tcp synwait-time 20
Router(config)# ip inspect tcp idle-time 60
Router(config)# ip inspect udp idle-time 20
Router(config)# ip inspect max-incomplete high 400
Router(config)# ip inspect max-incomplete low 300
Router(config)# ip inspect one-minute high 600
Router(config)# ip inspect one-minute low 500
Router(config)# ip inspect tcp max-incomplete host 300 block-time 0
警告:建议不要同时使用TCP截获和CBAC防御功能,因为这可能导致路由器过载。
打开Cisco快速转发(Cisco Express Forwarding,CEF)功能可帮助路由器防御数据包为随机源地址的洪流。可以对调度程序做些设置,避免在洪流的冲击下路由器的CPU完全过载:
Router(config)#scheduler allocate
在配置之后,IOS会用3秒的时间处理网络接口中断请求,之后用1秒执行其他任务。对于较早的系统,可能必须使用命令scheduler interval&milliseconds&。
另一种方法是利用Iptables预防DOS脚本
#!/bin/bash
netstat -an|grep SYN_RECV|awk '{print$5}'|awk -F: '{print$1}'|sort|uniq -c|sort -rn|awk '{if ($1 &1) print $2}'
for i in $(cat /tmp/dropip)
/sbin/iptables -A INPUT -s $i -j DROP
echo &$i kill at `date`& &&/var/log/ddos
该脚本会对处于SYN_RECV并且数量达到5个的IP做统计,并且把写到Iptables的INPUT链设置为拒绝。
六、案例总结
无论是出于何种目的而发起更大规模攻击或其他目的DOS/DDoS攻击都必须重视。防范这种攻击的办法主要有及时打上来自厂商的补丁。同时,要关闭有漏洞的服务,或者用访问控制列表限制访问。常规的DOS攻击,特别是DDOS攻击更难防范。如果整个带宽都被Ping洪流耗尽,我们能做的就很有限了。针对DOS攻击,首先要分析它的攻击方式,是ICMP Flood 、UDP Flood和SYN Flood等流量攻击,还是类似于TCP Flood、CC等方式,然后再寻找相对有效的应对策略。对于这种攻击可以采取下面介绍的几种方法:
1).利用&蜜网&防护,加强对攻击工具和恶意样本的第一时间分析和响应。大规模部署蜜网设备以便追踪僵尸网络的动态,捕获恶意代码。部署网站运行监控设备,加强对网页挂马、访问重定向机制和域名解析的监控,切断恶意代码的主要感染途径。采用具备沙箱技术和各种脱壳技术的恶意代码自动化分析设备,加强对新型恶意代码的研究,提高研究的时效性。
2).利用Ossim系统提供的Apache Dos防护策略可以起到监控的作用。
3).利用云计算和虚拟化等新技术平台,提高对新型攻击尤其是应用层攻击和低速率攻击的检测和防护的效率。国外己经有学者开始利用Hadoop平台进行Http Get Flood的检测算法研究。
4).利用IP信誉机制。在信息安全防护的各个环节引入信誉机制,提高安全防护的效率和准确度。例如对应用软件和文件给予安全信誉评价,引导网络用户的下载行为,通过发布权威IP信誉信息,指导安全设备自动生成防护策略,详情见《Unix/linux网络日志分析与流量监控》2.1节。
5).采用被动策略即购买大的带宽,也可以有效减缓DDOS攻击的危害。
6).构建分布式的系统,将自己的业务部署在多地机房,将各地区的访问分散到对应的机房,考虑部署CDN,在重要IDC节点机房部署防火墙(例如Cisco、Juniper防火墙等)这样即使有攻击者进行DOS攻击,破坏范围可能也仅仅是其中的一个机房,不会对整个业务造成影响。
7).如果规模不大,机房条件一般,那可以考虑在系统中使用一些防DDos的小工具,如DDoS Deflate,它的官网地址是 ,它是一款免费的用来防御和减轻DDOS攻击的脚本,通过系统内置的netstat命令,来监测跟踪创建大量网络连接的IP地址,在检测到某个结点超过预设的限制时,该程序会通过APF或IPTABLES禁止或阻挡这些IP。当然此工具也仅仅是减轻,并不能全部防止攻击。
最后还要用不同供应商、不同AS路径并支持负载均衡功能的不止一条到因特网的连接,但这与应对消耗高带宽的常规DOS/DDOS洪流的要求还有差距。我们总是可以用CAR(Committed Access Rate,承诺访问速率)或NBAR(Network-Based Application Recognition,网络应用识别)来抛弃数据包或限制发动进攻的网络流速度,减轻路由器CPU的负担,减少对缓冲区和路由器之后的主机的占用。
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'重装系统后仍无法上网啊!!网上各种办法都试了,高手来啊!!!_百度知道紧急求救~!电脑上不了网,重装系统后还是上不了网
[问题点数:20分]
紧急求救~!电脑上不了网,重装系统后还是上不了网
[问题点数:20分]
不显示删除回复
显示所有回复
显示星级回复
显示得分回复
只显示楼主
本帖子已过去太久远了,不再提供回复功能。15932人阅读
网络配置和协议配置及诊断
一、&实验目的
1.&掌握网络的基本配置
2.&掌握TCP/IP协议的配置
3.&掌握TCP/IP协议的故障检测和排除方法
4.&了解系统网络命令及其所代表的含义,以及所能对网络进行的操作
二、&实验内容
在系统中进行网络配置、用命令工具来进行网络测试、使用tracert路由跟踪命令、使用route、netstat、arp、nslookup命令查看网络状态。安装TCP/IP协议;配置TCP/IP协议;验证TCP/IP协议是否正确配置;诊断TCP/IP协议配置的连通性;利用网络命令对网络进行简单的操作.
三、&实验步骤
①&安装配置TCP/IP协议(Windows&XP)
1.&右击&网上邻居&图标,从弹出菜单中选择&属性&选项,打开&网络连接&窗口。
2.&右击&本地连接&图标,从弹出菜单中选择&属性&选项,打开&本地连接属性&对话框,打开&常规&选项卡。
3.&如果在&此连接使用下列项目:&列表框中未出现&Internet协议(TCP/IP)&,则点击&安装&协议&添加&Internet协议(TCP/IP)&确定&,此时列表框中出现&Internet协议(TCP/IP)&,表明TCP/IP协议已成功安装。
4.&选择&Internet协议(TCP/IP)&,单击&属性&按钮,打开&Internet协议(TCP/IP)属性&对话框,根据计算机所在网络的具体情况,决定自动获得IP地址或指定IP地址。若选中&自动获得IP地址&,计算机将会从DHCP服务器自动获取IP地址、子网掩码等信息。若局域网中没有专用的服务器为计算机分配IP地址,或不想通过DHCP服务器分配IP地址,则需要手工输入IP地址。
5.&本实验要求手工输入IP地址。IP地址在同一个网络中必须是唯一的。在局域网内部一般使用非路由地址。非路由地址不会被Internet分配,专用于内部局域网使用。它们从不会被路由。
②&TCP/IP诊断
1.&ping&环回地址:验证是否已安装TCP/IP协议及配置是否正确。
点击&开始&所有程序&附件&命令提示符&,出现&命令提示符&窗口,在DOS下输入&ping&127.0.0.1&回车后,显示&Reply&from&127.0.0.1:&&&,则表明TCP/IP协议配置正确。
2.&ping默认网关或一个本地计算机的IP地址:验证TCP/IP协议是否被正确绑定在网卡上,验证能否与本地网络上的其它计算机通信。
在DOS下输入&ping&192.168.0.XX&回车后,显示&Reply&from&192.168.0.XX:&&,则表明协议、网卡均无问题,默认网关运行正常,网络连接正常。
3.&ping远程主机的IP地址(或域名):验证能否通过路由通信。
在DOS下运行&ping&&,显示&Reply&from&64.233.189.104:&&,则表明远程连接正常。
③&查看、、AC
1.&在DOS下运行&ipconfig/all&,记录显示内容,包括:&Physical&Address,&IP&Address,&Subnet&Mask,&Default&Gateway,&DNS&Servers&。
2.&在DOS下运行&nslookup&202.118.176.2&,记录该IP地址的域名。从显示内容分析配置该IP地址的计算机为校园网用户提供何种服务?
3.&在DOS下运行&nslookup&202.118.176.8&,记录该IP地址的域名。从域名分析配置该IP地址的计算机为校园网用户提供何种服务?
4.&在DOS下运行&nslookup&&或运行&nslookup&你所喜欢网站的域名&,观察显示内容,记录该域名的IP地址。
5.&注:nslookup是一个监测网络中DNS服务器是否能正确实现域名解析的命令行工具。2和3中的两个IP地址为当前计算机用ipconfig/all命令查找到的DNS服务器的IP地址。
④&查看当前缓存表(了解网关、ARP协议的作用)
1.&在DOS下运行&-d&
2.&在DOS下运行&ping&192.168.0.8&,然后运行&-a&,记录显示的缓存表中的IP与MAC&。
3.&在DOS下运行&-d&
4.&在DOS下运行&ping&www.&,然后运行&-a&,记录显示的缓存表中的IP与MAC&。注意观察网关所起的作用。
5.&在DOS下运行&-d&
6.&在DOS下运行&ping&&,然后运行&-a&,记录显示的缓存表中的IP与MAC&。注意观察ARP协议的作用范围。
⑤&查看路由跟踪情况
在DOS下运行&tracert&www.&,记录到达目的地需要跨越的每个路由器或网关。
1&具体功能:
&&&&ipconfig&是内置于Windows的TCP/IP应用程序,用于显示本地计算机网络适配器的物理地址和IP地址等配制信息,这些信息一般用来检验手动配置的TCP/IP设置是否正确。当在网络中使用DHCP服务时,ipconfig可以检测到计算机中分配到了什么IP地址,是否配置正确,并且可以释放、重新获取IP地址。这些信息对于网络测试和故障排除都有重要的作用。
2&&ipconfig&命令参数简介:
&&&&在使用ipconfig命令时,如果不带参数,将只显示简单的IP地址配置信息,如果配合参数使用,还可以实现其他的一些管理功能。
&&(1)语法
&&&&ipconfig&[/all]&[/renew&[adapter]&[/release&[adapter][/flushdns]&[/displaydns]&[/registerdns]&[/showclassid&adapter][/setclassid&adapter&[classID]&
&&(2)参数说明
&&&&/all&显示所有适配器的完整&TCP/IP&配置信息。&在没有该参数的情况下&IPCONFIG&只显示&IP&地址、子网掩码和各个适配器的默认网关值。适配器可以代表物理接口&(&例如安装的网络适配器&)&或逻辑接口&(&例如拨号连接&)&。&
/renew&[adapter]&更新所有适配器&(&如果未指定适配器&)&,或特定适配器&(&如果包含了&adapter&参数&)&的&DHCP&配置。&该参数仅在具有配置为自动获取&IP&地址的网卡的计算机上可用。要指定适配器名称,请键入使用不带参数的&IPCONFIG&命令显示的适配器名称。&
/release&[adapter]&发送&DHCPRELEASE&消息到&DHCP&服务器,以释放所有适配器&(&如果未指定适配器&)&或特定适配器&(&如果包含了&adapter&参数&)&的当前&DHCP&配置并丢弃&IP&地址配置。&该参数可以禁用配置为自动获取&IP&地址的适配器的&TCP/IP&。要指定适配器名称,请键入使用不带参数的&IPCONFIG&命令显示的适配器名称。&
/flushdns&清理并重设&DNS&客户解析器缓存的内容。&如有必要,在&DNS&疑难解答期间,可以使用本过程从缓存中丢弃否定性缓存记录和任何其他动态添加的记录。&
/displaydns&显示&DNS&客户解析器缓存的内容,&包括从本地主机文件预装载的记录以及由计算机解析的名称查询而最近获得的任何资源记录。&DNS&客户服务在查询配置的&DNS&服务器之前使用这些信息快速解析被频繁查询的名称。&
/registerdns&初始化计算机上配置的&DNS&名称和&IP&地址的手工动态注册。&可以使用该参数对失败的&DNS&名称注册进行疑难解答或解决客户和&DNS&服务器之间的动态更新问题,而不必重新启动客户计算机。&TCP/IP&协议高级属性中的&DNS&设置可以确定&DNS&中注册了哪些名称。&
/showclassid&adapter&显示指定适配器的&DHCP&类别&ID&。&要查看所有适配器的&DHCP&类别&ID&,可以使用星号&(*)&通配符代替&adapter&。该参数仅在具有配置为自动获取&IP&地址的网卡的计算机上可用。&
/setclassid&adapter&[classID]&配置特定适配器的&DHCP&类别&ID&。&要设置所有适配器的&DHCP&类别&ID&,可以使用星号&(*)&通配符代替&adapter&。该参数仅在具有配置为自动获取&IP&地址的网卡的计算机上可用。如果未指定&DHCP&类别的&ID&,则会删除当前类别的&ID&。
&&&&/?在命令提示符显示帮助。
(3)注意事项
IPCONFIG&等价于&WINIPCFG&,后者在&Windows&98/Me&上可用。尽管&Windows&XP&没有提供象&WINIPCFG&命令一样的图形化界面,但可以使用&&&网络连接&&&&查看和更新&IP&地址。要做到这一点,请打开网络连接,右键点击某一网络连接,点击&&&状态&&
命令,然后点击&&&支持&&&选项卡
该命令最适用于配置为自动获取&IP&地址的计算机。它使用户可以确定哪些&TCP/IP&配置值是由&DHCP&、自动专用&IP&地址&(APIPA)&和其他配置配置的。&
如果&adapter&名称包含空格,请在该适配器名称两边使用引号&(&即&&adapter&name&)&。&
对于适配器名称,&IPCONFIG&可以使用星号&(*)&通配符字符指定名称为指定字符串开头的适配器,或名称包含有指定字符串的适配器。例如,&local*&可以匹配所有以字符串&local&开头的适配器,而&*Con*&可以匹配所有包含字符串&Con&的适配器。&
只有当&TCP/IP&协议在网络连接中安装为网络适配器属性的组件时,该命令才可用。
3&举例说明:
例子&1&:查看&ipconfig&所有参数&
在&开始&、&运行&里面输入&cmd&,到本机的命令提示符状态下。在本机的命令提示符中直接输入&ipconfig&/?&
[显示如下信息]
C:/Documents&and&Settings/Administrator&ipconfig&/?
&&&&ipconfig&[/?&|&/all&|&/renew&[adapter]&|&/release&[adapter]&|
&&&&&&&&&&&&&&/flushdns&|&/displaydns&|&/registerdns&|
&&&&&&&&&&&&&&/showclassid&adapter&|
&&&&&&&&&&&&&&/setclassid&adapter&[classid]&]
&&&&adapter&&&&&&&&&Connection&name
&&&&&&&&&&&&&&&&&&&(wildcard&characters&*&and&?&allowed,&see&examples)
&&&&Options:
&&&&&&&/?&&&&&&&&&&&Display&this&help&message
&&&&&&&/all&&&&&&&&&Display&full&configuration&information.
&&&&&&&/release&&&&&Release&the&IP&address&for&the&specified&adapter.
&&&&&&&/renew&&&&&&&Renew&the&IP&address&for&the&specified&adapter.
&&&&&&&/flushdns&&&&Purges&the&DNS&Resolver&cache.
&&&&&&&/registerdns&Refreshes&all&DHCP&leases&and&re-registers&DNS&names
&&&&&&&/displaydns&&Display&the&contents&of&the&DNS&Resolver&Cache.
&&&&&&&/showclassid&Displays&all&the&dhcp&class&IDs&allowed&for&adapter.
&&&&&&&/setclassid&&Modifies&the&dhcp&class&id.
The&default&is&to&display&only&the&IP&address,&subnet&mask&and
default&gateway&for&each&adapter&bound&to&TCP/IP.
For&Release&and&Renew,&if&no&adapter&name&is&specified,&then&the&IP&address
leases&for&all&adapters&bound&to&TCP/IP&will&be&released&or&renewed.
For&Setclassid,&if&no&ClassId&is&specified,&then&the&ClassId&is&removed.
&&&&&&ipconfig&&&&&&&&&&&&&&&&&&&...&Show&information.
&&&&&&ipconfig&/all&&&&&&&&&&&&&&...&Show&detailed&information
&&&&&&ipconfig&/renew&&&&&&&&&&&&...&renew&all&adapters
&&&&&&ipconfig&/renew&EL*&&&&&&&&...&renew&any&connection&that&has&its
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&name&starting&with&EL
&&&&&&ipconfig&/release&*Con*&&&&...&release&all&matching&connections,
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&eg.&&Local&Area&Connection&1&&or
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&Local&Area&Connection&2&
例子&2&:查看网络适配器信息
&&在本地计算机运行不带任何参数的ipconfig命令,可以检测本地网络连接的IP地址配置信息,同时也包括ADSL信息,使我们可以了解到ADSL租用了哪个IP地址。在这里显示的IP信息有:IP地址(IP&Address)、子网掩码(Subnet&Mask)和默认网关(Default&Gateway),如下图所示
例子&3&:查看所有适配器的完整&TCP/IP&配置信息
网络管理员需要得到计算机网卡的MAC地址,用它进行MAC地址绑定、远程管理等,这可以用ipconfig命令加&all&参数命令来实现。在命令提示符下输入命令:
&ipconfig&/all&回车即可显示本地计算机中所有网卡的MAC地址,如下图所示,其中,&Physical&Address&显示的就是网卡的MAC地址。
&&同时也显示了该网卡的其他信息,如网卡类型描述信息(Description)、是否启用了DHCP服务(Dhcp&Endbled)以及IP地址配置信息等。另外也显示了其他一些Windows配置信息,在&Windows&IP&Configuration&区域中,显示了主机名(Home&Name)、主DNS后缀(Primary&Dns&Suffix)、节点类型(Node&Type)、是否开启了IP路由(IP&Routing&Enabled)、是否开启了WINS代理(WINS&Proxy&Enabled)。
[显示如下信息]
C:/Documents&and&Settings/Administrator&ipconfig&/all
Windows&IP&Configuration
&&&&&&&&Host&Name&.&.&.&.&.&.&.&.&.&.&.&.&:&b87ec27fa7894a3
&&&&&&&&Primary&Dns&Suffix&&.&.&.&.&.&.&.&:
&&&&&&&&Node&Type&.&.&.&.&.&.&.&.&.&.&.&.&:&Unknown
&&&&&&&&IP&Routing&Enabled.&.&.&.&.&.&.&.&:&No
&&&&&&&&WINS&Proxy&Enabled.&.&.&.&.&.&.&.&:&No
Ethernet&adapter&本地连接:
&&&&&&&&Media&State&.&.&.&.&.&.&.&.&.&.&.&:&Media&disconnected
&&&&&&&&Description&.&.&.&.&.&.&.&.&.&.&.&:&Broadcom&NetXtreme&57xx&Gigabit&Cont
&&&&&&&&Physical&Address.&.&.&.&.&.&.&.&.&:&00-12-3F-1B-86-79
Ethernet&adapter&无线网络连接:
&&&&&&&&Connection-specific&DNS&Suffix&&.&:
&&&&&&&&Description&.&.&.&.&.&.&.&.&.&.&.&:&Intel(R)&PRO/Wireless&2200BG&Network
&Connection
&&&&&&&&Physical&Address.&.&.&.&.&.&.&.&.&:&00-12-F0-B3-47-BA
&&&&&&&&Dhcp&Enabled.&.&.&.&.&.&.&.&.&.&.&:&Yes
&&&&&&&&Autoconfiguration&Enabled&.&.&.&.&:&Yes
&&&&&&&&IP&Address.&.&.&.&.&.&.&.&.&.&.&.&:&192.168.1.100
&&&&&&&&Subnet&Mask&.&.&.&.&.&.&.&.&.&.&.&:&255.255.255.0
&&&&&&&&IP&Address.&.&.&.&.&.&.&.&.&.&.&.&:&fe80::212:f0ff:feb3:47ba%7
&&&&&&&&Default&Gateway&.&.&.&.&.&.&.&.&.&:&192.168.1.1
&&&&&&&&DHCP&Server&.&.&.&.&.&.&.&.&.&.&.&:&192.168.1.1
&&&&&&&&DNS&Servers&.&.&.&.&.&.&.&.&.&.&.&:&192.168.1.1
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&fec0:0:0:ffff::1%1
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&fec0:0:0:ffff::2%1
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&fec0:0:0:ffff::3%1
&&&&&&&&Lease&Obtained.&.&.&.&.&.&.&.&.&.&:&日&20:21:31
&&&&&&&&Lease&Expires&.&.&.&.&.&.&.&.&.&.&:&日&22:21:31
Tunnel&adapter&Teredo&Tunneling&Pseudo-Interface:
&&&&&&&&Connection-specific&DNS&Suffix&&.&:
&&&&&&&&Description&.&.&.&.&.&.&.&.&.&.&.&:&Teredo&Tunneling&Pseudo-Interface
&&&&&&&&Physical&Address.&.&.&.&.&.&.&.&.&:&FF-FF-FF-FF-FF-FF-FF-FF
&&&&&&&&Dhcp&Enabled.&.&.&.&.&.&.&.&.&.&.&:&No
&&&&&&&&IP&Address.&.&.&.&.&.&.&.&.&.&.&.&:&fe80::4f%6
&&&&&&&&Default&Gateway&.&.&.&.&.&.&.&.&.&:
&&&&&&&&NetBIOS&over&Tcpip.&.&.&.&.&.&.&.&:&Disabled
Tunnel&adapter&Automatic&Tunneling&Pseudo-Interface:
&&&&&&&&Connection-specific&DNS&Suffix&&.&:
&&&&&&&&Description&.&.&.&.&.&.&.&.&.&.&.&:&Automatic&Tunneling&Pseudo-Interface
&&&&&&&&Physical&Address.&.&.&.&.&.&.&.&.&:&C0-A8-01-64
&&&&&&&&Dhcp&Enabled.&.&.&.&.&.&.&.&.&.&.&:&No
&&&&&&&&IP&Address.&.&.&.&.&.&.&.&.&.&.&.&:&fe80::5efe:192.168.1.100%2
&&&&&&&&Default&Gateway&.&.&.&.&.&.&.&.&.&:
&&&&&&&&DNS&Servers&.&.&.&.&.&.&.&.&.&.&.&:&fec0:0:0:ffff::1%1
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&fec0:0:0:ffff::2%1
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&fec0:0:0:ffff::3%1
&&&&&&&&NetBIOS&over&Tcpip.&.&.&.&.&.&.&.&:&Disabled
C:/Documents&and&Settings/Administrator&
如果网络中使用了DHCP服务,客户端计算机就可以自动获得IP地址。但有时因DHCP服务器或网络故障等原因,使一些客户端计算机不能正常获得IP地址,此时系统就会自动为网卡分配一个169.254.x.x的IP地址;或者有些计算机IP地址的租约到期,需要更新或重新获得IP地址,这就可以使用ipconfig配合参数/renew和/release来实现。
例子&4&:重新获取IP地址
&&客户端计算机没有正确获得IP地址时,就需要管理员先将原先获得的IP地址释放掉,再命令提示符下输入命令:&ipconfig&/release&,回车,系统就将原IP地址释放,释放以后,可以看到IP地址和子网掩码均变成0.0.0.0,然后,就可以重新获得一个新的IP地址了。
例子&5&:更新所有适配器的&DHCP&配置
在命令提示符下输入&ipconfig&/renew&,回车,系统就会自动从DHCP服务器获得一个新的IP地址,以及子网掩码、默认网关等信息,如图所示。当我们使用ADSL&Modem时,也可能因为网络原因造成不能正确获得IP地址,此时也可先使用ipconfig命令释放掉IP地址,然后再重新获得IP地址即可。
例子&6&:清理并重设&DNS&客户解析器缓存的内容
例子&7&:初始化计算机上配置的&DNS&名称和&IP&地址的手工动态注册
例子&8&:显示&DNS&客户解析器缓存的内容
(1)&在&C:/&命令提示符&下,输入命令&&ipconfig&&/all
&&&&&&&网卡的MAC地址
静态地址分配
主域名服务器的IP地址
辅助域名服务器的IP地址
l&命令的格式与参数
l&查看本地路由表
l&添加和删除路由表项
清除所有不是主路由(网掩码为&255.255.255.255&的路由)、环回网络路由(目标为&127.0.0.0,网掩码为&255.255.255.0&的路由)或多播路由(目标为&224.0.0.0,网掩码为&240.0.0.0&的路由)的条目的路由表。&
(添加永久路由记录)
与&add&命令共同使用时,指定路由被添加到注册表并在启动&TCP/IP&协议的时候初始化&IP&路由表。默认情况下,启动&TCP/IP&协议时不会保存添加的路由。与&print&命令一起使用时,则显示永久路由列表。所有其它的命令都忽略此参数。永久路由存储在注册表中的位置是&HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/PersistentRoutes。&
(指定要运行的命令):
add&添加路由&
change&更改现存路由&
delete&删除路由&
print&打印路由&
指定路由的网络目标地址。目标地址可以是一个&IP&网络地址,对于主机路由是&IP&地址,对于默认路由是&0.0.0.0。&
指定与网络目标地址相关联的子网掩码。子网掩码对于&IP&网络地址可以是一适当的子网掩码,对于主机路由是&255.255.255.255&,对于默认路由是&0.0.0.0。如果忽略,则使用子网掩码&255.255.255.255。
指定网关的IP地址)
为路由指定所需跃点数的整数值(范围是&1&~&9999),它用来在路由表里的多个路由中选择与转发包中的目标地址最为匹配的路由。所选的路由具有最少的跃点数。跃点数能够反映跃点的数量、路径的速度、路径可靠性、路径吞吐量以及管理属性。&
指定目标可以到达的接口的接口索引。使用&route&print&命令可以显示接口及其对应接口索引的列表。对于接口索引可以使用十进制或十六进制的值。对于十六进制值,要在十六进制数的前面加上&0x。忽略&if&参数时,接口由网关地址确定。
route&print&&&(使用route&print&命令也能看到接口的MAC地址与索引号)
l&要显示&IP&路由表中以&10.&开始的路由:
l&要添加默认网关地址为&192.168.12.1&的默认路由:
l&要添加目标为&10.41.0.0,子网掩码为&255.255.0.0,下一个跃点地址为&10.27.0.1&的路由:
l&要添加目标为&10.41.0.0,子网掩码为&255.255.0.0,下一个跃点地址为&10.27.0.1&的永久路由:
l&要添加目标为&10.41.0.0,子网掩码为&255.255.0.0,下一个跃点地址为&10.27.0.1,跃点数为&7&的路由:
l&要添加目标为&10.41.0.0,子网掩码为&255.255.0.0,下一个跃点地址为&10.27.0.1,接口索引为&0x3&的路由:
l&要删除目标为&10.41.0.0,子网掩码为&255.255.0.0&的路由:
l&要删除&IP&路由表中以&10.&开始的所有路由:
l&要将目标为&10.41.0.0,子网掩码为&255.255.0.0&的路由的下一个跃点地址由&10.27.0.1&更改为&10.27.0.25:
&&Ping&指定的计算机直到中断。
&将IP地址解析为域名。
&发送&count&指定的&ECHO&数据包数。默认值为&4。
&发送包含由&length&指定的数据量的&ECHO&数据包。默认为&32&字节;最大值是&65,527。
&在数据包中发送&不要分段&标志。数据包就不会被路由上的网关分段。
&将&生存时间&字段设置为&ttl&指定的值。
&将&服务类型&字段设置为&tos&指定的值。
&在&记录路由&字段中记录传出和返回数据包的路由。count&可以指定最少&1&台,最多&9&台计算机。
&指定&count&指定的跃点数的时间戳。
&利用&computer-list&指定的计算机列表路由数据包。连续计算机可以被中间网关分隔(路由稀疏源)IP&允许的最大数量为&9。
&利用&computer-list&指定的计算机列表路由数据包。连续计算机不能被中间网关分隔(路由严格源)IP&允许的最大数量为&9。
&指定超时间隔,单位为毫秒。
&指定要&ping&的远程计算机。
l&较一般的用法是&ping&t&
l&ping&localhost:localhost是个人系统的网络保留名,是127.0.0.1的别名,每台计算机都应该能够将该名字转换成该地址。如果没有做到这一带内,则表示主机文件(C:/WINDOWS/system32/drivers/etc/hosts)中存在问题。
l&ping&:对这个域名执行Ping&&地址,通常是通过DNS&服务器&如果这里出现故障,则表示DNS服务器的IP地址配置不正确或DNS服务器有故障。可以利用该命令实现域名对IP地址的转换功能。
连续对IP地址执行Ping命令,直到被用户以Ctrl+C中断。&
指定Ping命令中的数据长度为3000字节,而不是缺省的32字节。&
执行特定次数的Ping命令。
racert命令
Nslookup&必须要安装了TCP/IP&协议的网络环境之后才能使用。&
现在网络中已经架设好了一台&DNS&服务器,主机名称为&linlin&,它可以把域名&&解析为&192.168.0.1&的IP地址,这是我们平时用得比较多的正向解析功能。&
检测步骤如下:&
在&Windows&2000&中单击&开始&-&&程序&-&&附件&-&&命令提示符&,在&C:/& 的后面键入&Nslookup&&,&回车&之后即可看到如下结果:&
Server:&linlin&
Address:&192.168.0.5&
Name:&&
Address:&192.168.0.1&
以上结果显示,正在工作的&DNS&服务器的主机名为&linlin&,它的&IP&地址是192.168.0.5&,而域名&所对应的&IP&地址为&192.168.0.1&。那么,在检测到&DNS&服务器&linlin&已经能顺利实现正向解析的情况下,它的反向解析是否正常呢?&也就是说,能否把IP地址192.168.0.1反向解析为域名&?我们在命令提示符C:/&的后面键入&Nslookup&192.168.0.1&,得到结果如下:&
Server:&linlin&
Address:&192.168.0.5&
Name:&&
Address:&192.168.0.1&
这说明,DNS&服务器&linlin&的反向解析功能也正常。&
然而,有的时候,我们键入Nslookup&&,却出现如下结果:&
Server:&linlin&
Address:&192.168.0.5&
***&linlin&can't&find&:&Non-existent&domain&
这种情况说明网络中DNS服务器&linlin&在工作,却不能实现域名&的正确解析。此时,要分析DNS服务器的配置情况,看是否&&这一条域名对应的&IP&地址记录已经添加到了DNS的数据库中。&
还有的时候,我们键入Nslookup&&,会出现如下结果:&
***&Can't&find&server&name&for&domain:&No&response&from&server&
***&Can't&find&&:&Non-existent&domain&
这时,说明测试主机在目前的网络中,根本没有找到可以使用的&DNS&服务器。此时,我们要对整个网络的连通性作全面的检测,并检查DNS服务器是否处于正常工作状态,采用逐步排错的方法,找出&DNS&服务不能启动的根源。&
Netstat显示活动的&TCP&连接、计算机侦听的端口、以太网统计信息、IP&路由表、IPv4&统计信息(对于&IP、ICMP、TCP&和&UDP&协议)。使用时如果不带参数,netstat&显示活动的&TCP&连接。
显示所有活动的&TCP&连接以及计算机侦听的&TCP&和&UDP&端口。&
显示以太网统计信息,如发送和接收的字节数、数据包数。该参数可以与&-s&结合使用。&
显示活动的&TCP&连接,不过,只以数字形式表现地址和端口号,却不尝试确定名称。&
显示活动的&TCP&连接并包括每个连接的进程&ID&(PID)。可以在&Windows&任务管理器中的&进程&选项卡上找到基于&PID&的应用程序。该参数可以与&-a、-n&和&-p&结合使用。&
显示&Protocol&所指定的协议的连接。在这种情况下,Protocol&可以是&tcp、udp、tcpv6&或&udpv6。如果该参数与&-s&一起使用按协议显示统计信息,则&Protocol&可以是&tcp、udp、icmp、ip、tcpv6、udpv6、icmpv6&或&ipv6。&
按协议显示统计信息。默认情况下,显示&TCP、UDP、ICMP&和&IP&协议的统计信息。如果安装了&Windows&XP&的&IPv6&协议,就会显示有关&IPv6&上的&TCP、IPv6&上的&UDP、ICMPv6&和&IPv6&协议的统计信息。可以使用&-p&参数指定协议集。&
显示&IP&路由表的内容。该参数与&route&print&命令等价。&
每隔&Interval&秒重新显示一次选定的信息。按&CTRL+C&停止重新显示统计信息。如果省略该参数,netstat&将只打印一次选定的信息。
l&要想显示以太网统计信息和所有协议的统计信息:
l&要想仅显示&TCP&和&UDP&协议的统计信息:
l&要想每&5&秒钟显示一次活动的&TCP&连接和进程&ID:
l&要想以数字形式显示活动的&TCP&连接和进程&ID:
许多&Windows&网络命令都以词&net&开头。这些&net&命令有一些公用属性:
键入&net&/?&可以看到所有可用的&net&命令的列表。&
键入&net&help&command,可以在命令行获得&net&命令的语法帮助。例如,关于&net&accounts&命令的帮助信息,请键入&net&help&accounts。&
et&help&command&|&more&会详细说明每个命令(包括参数)的解释
将消息发送到网络上的其他用户、计算机或消息名。必须运行信使服务以接收邮件。
:停止&Windows&2000&网络服务。&
Messenger&服务正在停止.
Messenger&服务已成功停止。
此时再打入net&send&本机名&消息,就没用了;相应的,要打开这个服务,只需把stop改为start,就可以了。
启动&FTP&发布服务。该命令只有在安装了&Internet&信息服务后才可用。
参考知识库
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:22672次
排名:千里之外
